31.10.2017 Erpressungstrojaner: Infektion durch manipulierte Websites

Symbolbild

Ein derzeit – vor allem in Osteuropa – im Umlauf befindlicher Erpressungstrojaner namens BadRabbit verschlüsselt nicht nur Dateien zwecks Lösegeldforderung, sondern stiehlt auch Login-Daten.

Der Schädling verbreitet sich anhand sogenannter Drive-by-Downloads – also durch das Surfen auf scheinbar seriösen Webseiten, die tatsächlich jedoch manipuliert wurden. Im Fall von BadRabbit informiert ein Pop-up über eine angeblich nötige Aktualisierung des Flash Players. Lädt eine Nutzerin bzw. ein Nutzer den vermeintlichen Flash Player herunter und führt die .exe-Datei aus, erfolgt eine Infektion mit BadRabbit.

BadRabbit verschlüsselt die Dateien auf dem System und fordert für die Freigabe Lösegeld in der Höhe von 0,05 Bitcoin, was rund 240 Euro entspricht. Ob die Daten nach erfolgter Zahlung tatsächlich freigegeben werden, ist nicht bekannt. Die Cyberkriminellen hinter dem Angriff setzen die Opfer zusätzlich unter Druck, da sie nach einer Frist von 40 Stunden die Lösegeldforderung erhöhen. Der Erpressungstrojaner ist zudem in der Lage, Login-Dateien zu stehlen und sich in Netzwerken wurmartig zu verbreiten.

Informationssicherheitsexpertinnen und -experten empfehlen das Blockieren der Ausführung der Dateien unter C:\Windows\infpub.dat und C:\Windows\cscc.dat. Zusätzlich wird auf das Deaktivieren des WMI-Dienstes hingewiesen, um zu verhindern, dass sich Schädlinge in einem Netzwerk verbreiten.

Weitere Informationen:

Datum der Veröffentlichung: 31.10.2017

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria